Кит втратив 27,3 мільйони через багатозначний експлойт: як злочинці зламали приватний ключ

Важкий інцидент безпеки стався з гаманцем важливої криптовалютної “китовиці”, з втратами, що можуть перевищувати 40 мільйонів доларів. За аналізом платформи безпеки блокчейну PeckShield, витік був спричинений компрометацією приватного ключа, пов’язаного з мульти-сиговим гаманцем, що дозволило злочинцям швидко вивести значні активи.

Уразлива архітектура мульти-сигового гаманця

Уразливість не була простою справою пасивної крадіжки. Дослідники Hacken Extractor виявили, що так званий “компрометований” гаманець можливо ніколи не контролювався легітимною жертвою. За реконструкціями, зловмисник створив мульти-сиговий гаманець 4 листопада о 7:46 UTC, одразу ж переказавши кошти до себе лише через шість хвилин. Ця схема свідчить, що оригінальний власник ніколи не мав повного контролю над криптографічними ключами, що робить гаманець уразливим з самого початку.

Гаманець, фінансований приблизно за 44 дні до експлойти, є яскравим прикладом того, як навіть великі інвестори можуть стати жертвами складних атак на основі соціальної інженерії або початкового компромету приватних ключів.

Витік і швидке відмивання

На момент опустошення, витікатель вивів 27,3 мільйони доларів з гаманця, залишивши лише близько 2 мільйонів доларів у ліквідних активах. Зловмисник одразу почав операції з відмивання через Tornado Cash, конвертуючи 4 100 ETH (еквівалентів у 12,6 мільйонів доларів за поточними ринковими цінами, з ETH, обміняним на $3.09K) у непідконтрольних фондах.

Одночасно, зловмисник зберіг контроль над оригінальним мульти-сиговим гаманцем, який містив позицію з довгою позикою на Aave. Ця стійкість у контролі активів свідчить, що нападник може спробувати додаткові витоки або маніпуляції з торгівлею.

Методи відмивання та захист активів

Крипто-міксери, такі як Tornado Cash, стали важливими інструментами для злочинців у приховуванні походження вкрадених коштів і ускладненні процесів їхнього повернення. Використовуючи калькулятор для відстеження сум, можна побачити, як ці міксери щодня обробляють величезні обсяги підозрілих транзакцій.

Важливий прецедент — крадіжка з криптовалютної біржі, де Lazarus Group викрала активи на суму близько 250 мільйонів доларів у Ethereum. Група почала відмивання всього через кілька днів після крадіжки, перемістивши понад 605 мільйонів доларів у ETH протягом трьох днів після атаки. До першого тижня березня вони повністю відмили 499 000 ETH, використовуючи комбінацію крипто-міксерів і децентралізованих бірж (DEX).

Наслідки для безпеки мульти-сигових гаманців

Ця подія підкреслює часто недооцінений ризик: навіть коли кит вважає, що використовує передову архітектуру безпеки, таку як мульти-сиг, компрометація одного приватного ключа може мати катастрофічні наслідки, якщо гаманець не був незалежно перевірений з самого початку. Таймлайн атаки показує, що перші ознаки аномалії датуються 4 листопада, значно раніше публічного виявлення.

Основний урок — жодна система безпеки не є імунною, якщо криптографічні основи були порушені з самого початку. “Кити” та інституційні інвестори повинні впроваджувати додаткові контролі, багаторівневі перевірки та незалежні аудити своїх приватних ключів перед переказом значних сум у нові гаманці, навіть якщо вони використовують передові протоколи мульти-сиг.